CISO-Radar 2024: Adaption, Kollaboration und Transformation bei Cyber Security

Cybersicherheit 2024: Was erwartet uns?

Schon bald wird das olympische Feuer entzündet und die Spiele in Paris werden eröffnet. Dieses Weltereignis wird viel Aufmerksamkeit auf sich ziehen, auch wenn es um Cyberangriffe geht! Die Cybersicherheitsteams müssen überaus wachsam sein, um mögliche Zwischenfälle während der Spiele zu verhindern. Sie müssen aber auch ihr Tagesgeschäft und wichtige Transformationsprojekte zur Vorbereitung auf neue Bedrohungen, Vorschriften und Technologien im Auge behalten.

Bereiten Sie Ihre Strategie für 2024 (und darüber hinaus) vor, indem Sie zusammen mit uns die wichtigsten Trends erkunden, die die Cybersicherheitslandschaft in diesem Jahr verändern werden.

Seit zehn Jahren veröffentlicht Wavestone jährlich den „CISO Radar“, der alle wichtigen Themen im Bereich Cybersicherheit und operative Resilienz zusammenfasst. Er spiegelt unsere jüngsten Projekterfahrungen und die Veränderungen wider, die von all unseren Expertinnen und Experten für Cybersicherheit und operative Resilienz am Markt wahrgenommen werden.

Auf der Grundlage dieses Radars und unserer Analysen haben wir die 10 wichtigsten Veränderungen für den Zeitraum 2024–2027 identifiziert.

Ausrichtung der Cybersicherheitsgrundlagen auf künftige Herausforderungen

1. Cloud: zwei Herausforderungen für Cyber-Teams

Die erste Herausforderung: Um das volle Potenzial der Cloud sicher nutzen zu können, müssen Sie zunächst Silos aufbrechen. Viele Unternehmen haben diese Technologie isoliert, indem sie Kompetenzzentren eingerichtet oder spezielle Experten ernannt haben, ohne sie in bestehende Sicherheits- oder IT-Teams zu integrieren. Dies war zwar notwendig, um die Technologie in Gang zu bringen, wirkt sich nun aber nachteilig aus. Angesichts der Zunahme von Cloud-nativen und hybriden Projekten sind betriebliche Veränderungen erforderlich, um die Cloud-Sicherheitsteams zu entlasten. Die Cloud muss ein IT-System wie jedes andere werden. Cloud-Sicherheit muss in die CI/CD-Pipeline und agilen Methoden der Unternehmen integriert werden – auch für interne Systeme.

Die zweite Herausforderung: Das Potenzial der Cloud in Bezug auf Cybersicherheit wird nicht voll ausgeschöpft. Dies umfasst:

• Automatisierte Bereitstellung von Ressourcen und Sicherheitsrichtlinien.
• Sichtbarkeit in der Cloud-Umgebung für eine bessere Überwachung des Perimeters.
• Entwicklung neuer Ressourcen mit No-Code-/Low-Code-Strategien (kein Code für die Bereitstellung erforderlich) oder ohne Administrator (weniger Benutzer mit Administratorrollen).

Dies ist häufig auf eine unzureichende Schulung des Teams oder auf die große Anzahl von Funktionen der Cloud-Dienste und deren rasante Weiterentwicklung zurückzuführen. Die Analyse der bestehenden Funktionen von Cloud-Plattformen und deren Anpassung an die Cyber-Prozesse des Unternehmens ist häufig ein sehr positiver Schritt und ermöglicht die Lösung von Problemen, die seit Jahren ungelöst sind (Echtzeit-Compliance-Prüfungen, Überwachung von Sicherheitsrichtlinien usw.).

2. Zero Trust: hin zu einer globalen Strategie

Zero Trust ist das Ziel fast aller unserer Kunden. Für die Erstellung eines Plans für den Übergang zu einem Zero-Trust-Modell, das in mehrfacher Hinsicht (Infrastruktur, Anwendungen, Zugang usw.) wirksam ist, stehen heute mehrere Frameworks zur Verfügung (u. a. von Wavestone).

Große Unternehmen setzen derzeit zwei Arten von Projekten um:

1. Einführung von ZTNA (Zero Trust Network Access) mit Schwerpunkt auf Netzwerk- und Fernzugriff.
2. Mikrosegmentierung, bei der das Netzwerk in Segmente unterteilt wird und spezifische Sicherheitsrichtlinien dynamisch auf diese Segmente angewendet werden.

Zero Trust ist jedoch nicht auf Fernzugriff und Mikrosegmentierung beschränkt. Die größte Herausforderung besteht darin, Anwendungen schrittweise auf ein Zero-Trust-Modell umzustellen. Dies ist eine tiefgreifende und komplexe Veränderung, die Zeit benötigt. Reife Unternehmen arbeiten derzeit an einem konvergenten Ansatz, bei dem die Fortschritte bei der Implementierung schrittweise anhand konkreter Kennzahlen gemessen werden. Dazu gehören: der Prozentsatz kritischer Anwendungen, die mit bedingtem Zugriff verwaltet werden, von Zero-Trust-Zugriff abgedeckte Benutzer, von Mikrosegmentierung abgedeckte kritische Umgebungen, die Anzahl und Genauigkeit der Kriterien zur Bewertung des Vertrauensniveaus.

Dies ist ein schrittweiser, aber stetiger Prozess. Er muss langfristig vorangetrieben und begleitet werden.

3. Kulturwandel: Neue Ansätze zur Sensibilisierung für Cyberrisiken

Die Sensibilisierung ist seit Jahren eine der am weitesten verbreiteten Praktiken im Bereich der Cybersicherheit. Die oft enttäuschenden Ergebnisse von Phishing-Kampagnen zeigen jedoch, dass die „gläserne Decke“ erreicht wird. Dies unterstreicht die Notwendigkeit, die Schulung im Bereich der Cybersicherheit zu überdenken und sie stärker auf die am stärksten gefährdeten Bereiche auszurichten.

Das Ziel besteht nicht darin, diese Decke zu durchbrechen, was einen übermäßigen Energieaufwand erfordern würde. Vielmehr geht es darum, die Sensibilisierungskampagnen so zu spezialisieren, dass eine Verhaltensänderung erreicht werden kann.

Die folgenden vier Maßnahmen haben sich als besonders effektiv erwiesen.

1. Identifizierung der wichtigsten Risikobereiche in Zusammenhang mit dem Geschäftsbetrieb.
2. Enge Zusammenarbeit mit Geschäftsbereichen und Mitarbeitern zur Überprüfung und Verbesserung der Prozesse. Es geht nicht länger darum, breit gefasste, allgemeine Botschaften zu verbreiten, sondern gemeinsam mit den für die Umsetzung Verantwortlichen zu überlegen, wie die Arbeitsweisen geändert werden können.
3. Seien Sie bei der Anpassung von Sicherheitspraktiken kreativ, aber immer pragmatisch.
4. Messen Sie die Auswirkungen der Änderungen.

4. Entkopplung: das Ende der globalisierten Informationssysteme

Die geopolitischen Unruhen der letzten Jahre und die Verschärfung verschiedener regionaler Vorschriften zeigen, dass ein vollständig integriertes internationales Informationssystem (IS) keine Option mehr ist. Einige internationale Unternehmen segmentieren ihr IS bereits in stärker lokalisierte Versionen rund um zwei oder drei wichtige Regionen. Dieser Trend nimmt zu.

Zwei Wege stehen den Unternehmen in dieser neuen Landschaft offen.

Der proaktive Ansatz zielt auf eine langfristige Umstrukturierung der Architektur ab, um zwei bis vier verschiedene Zonen zu schaffen.

• Aufbau eines segmentierten AD (Active Directory) (z. B.: auf den Standort von Domain-Controllern achten).
• Hinzufügen einer Sicherheitsebene für ausländische Tochtergesellschaften oder Unternehmen (z. B.: Einrichtung von Firewalls und Filterregeln).
• Aufrechterhaltung einer globalen Erkennungsfähigkeit durch Konsolidierung von Warnungen anstatt nur von Protokollen.
• Sicherstellung, dass Verträge mit Dritten von einem souveränen geopolitischen Standpunkt aus bewertet werden (z. B.: Beauftragung lokaler Akteure, die vor Ort auf einen Vorfall reagieren können).

Der reaktive Ansatz konzentriert sich auf die Einrichtung eines Krisenmodus, wenn eine schnelle Entkopplung erforderlich ist.

• Identifizierung sensibler geografischer Gebiete.
• Einführung von Red-Button-Verfahren zur Abschaltung des Netzwerks, von Berechtigungskonten und des Zugriffs auf Anwendungen und Arbeitsplätze.
• Antizipation der geschäftlichen Auswirkungen und rechtlichen Risiken einer Isolierung (z. B.: beim Transfer von Sicherheitssystemen aus einem mit einem Embargo belegten Land).

Sie erfordert daher bereichsübergreifende Diskussionen. Zum einen mit dem Top-Management, das wie bei M&A-Transaktionen an diesen Prozessen beteiligt ist, und zum anderen mit den Geschäftsbereichen, um die Zugangs- und Kommunikationsbedürfnisse auf Unternehmensebene zu verstehen. Multinationale Unternehmen verfolgen mit einer Entkopplung häufig zwei Ziele: die Aufrechterhaltung eines möglichst reibungslosen Geschäftsbetriebs bei gleichzeitigem Schutz vor Spionage, böswilligen Handlungen oder Angriffen.

Es ist wichtig, dieses neue Gleichgewicht zu finden, ehe man in Notsituationen zum Handeln gezwungen ist.

Zusammenarbeit mit neuen Partnern zur Stärkung der Sicherheit

5. Resilienz: eine zentrale Herausforderung

Operative Resilienz ist in den vergangenen Jahren mit neuen Bestimmungen und Verordnungen wie DORA (Digital Operational Resilience Act) für den Finanzsektor, NIS2 (Network and Information Systems Directive) und dem künftigen CRA (Cyber Resilience Act) zu einem unumgänglichen Thema geworden. Trotz steigender Investitionen weist der Bereich noch einen geringen Reifegrad mit erheblichen Unterschieden zwischen den Unternehmen auf.

Das Hauptziel von Resilienz besteht darin, den Kern des Unternehmens, die „Minimum Viable Company“, zu schützen. Dies erfordert es, die richtigen Fragen zu stellen und mit den richtigen Personen zusammenzuarbeiten.

6. Third-Party-Management: ein Gemeinschaftsprojekt

Third-Party-Angriffe haben 2023 zugenommen. Die jüngsten Angriffe auf Boeing, ICBC und DP World zeigen, wie komplex Third-Party-Management sein kann. Die Vielzahl an Partnern, Lieferanten und Subunternehmern eines Unternehmens (und seiner Tochtergesellschaften!) bedeutet, dass das Third-Party-Management von Drittanbietern für die Cybersicherheitsteams eine echte Herausforderung darstellt.

Auch hier verlangt die Regulierung, insbesondere Kapitel V von DORA, eine stärkere Überwachung. Um den Anforderungen der Regulierungsbehörden gerecht zu werden, müssen die Third-Party-Risiken bewertet, spezielle Klauseln in Verträge aufgenommen und eine Strategie für einen schnellen Rückzug (Stressed Exit) festgelegt werden.

Ein effektives Third-Party-Management kann sich nicht allein auf die Sicherheitsteams stützen. Alle Abteilungen müssen einbezogen werden: IT, Einkauf usw. Eine für alle zugängliche Plattform zur Bewertung von Drittparteien kann eine Möglichkeit zu ihrer effektiven Einbeziehung sein.

Sie müssen außerdem Ihre kritischsten Drittparteien in gemeinsame Krisenübungen einbeziehen. Diese noch recht seltene integrierte Vorbereitung ermöglicht es, voneinander zu lernen.

Nicht zuletzt ist die Zusammenarbeit mit den Akteuren der Branche von entscheidender Bedeutung für den Schutz der wichtigsten Markt-Assets. Dies gilt insbesondere für Drittparteien, bei denen kein erneutes Insourcing möglich ist (z. B. große Cloud-Plattformen), oder wenn es keine Alternativen für den Markt gibt (z. B. SWIFT).

Third-Party-Management bedeutet, die Risiken von Tausenden, wenn nicht Zehntausenden von Einrichtungen zu verwalten. Dies ist ein riesiges Unterfangen, das langfristiges Engagement erfordert!

7. CISO: eine Funktion im Wandel

Angesichts der aktuellen Herausforderungen müssen CISOs (Chief Information Systems Security Officer) neue Kompetenzen und Ressourcen nutzen.

Die unvermeidlichen Veränderungen im Bereich Cybersicherheit verstehen

8. Künstliche Intelligenz: ein zweischneidiger taktischer Vorteil

Angesichts des aktuellen Hypes rund um künstliche Intelligenz (KI) sehen sich Unternehmen mit neuartigen Bedrohungen konfrontiert, die den Kern dieser Modelle betreffen. Es entstehen neue Angriffsformen, wie z. B. Poisoning (Veränderung von Trainingsdaten zur Täuschung), Oracle-Angriff (Missbrauch von KI zur Preisgabe von Dingen, die sie nicht preisgeben sollte) oder Illusion (KI wird dazu gebracht, Dinge zu glauben, die falsch, aber für den Menschen unsichtbar sind). Es müssen neue Risikobewertungs- und Schutzmaßnahmen eingeführt werden.

Kurzfristig steht daher die Sicherung von Geschäftsprojekten mit KI-Nutzung im Vordergrund, insbesondere in den folgenden Phasen:

• Klassifizierung der KI-Anwendungsfälle gemäß den regulatorischen Kriterien (siehe künftiges europäisches KI-Gesetz) oder dem NIST-Risikomanagementrahmen (National Institute of Standards and Technology);
• Definition einer Verantwortungs- und Governance-Matrix für die Validierung von Anwendungsfällen unter Berücksichtigung von Cybersicherheit, Transparenz, Datenschutz, Bias und Ethik;
• Bei Bedarf Umsetzung spezifischer Sicherheitsmaßnahmen, entweder durch direkte Integration von Sicherheit in das Projektdesign oder durch Implementierung neuer Produkte für KI-Sicherheit.

Künftig müssen KI-Entwicklungen in der Cybersicherheit beobachtet werden. 2024 wird es eine Vielzahl spannender Ankündigungen geben, aber wir empfehlen, nicht voreilig zu investieren. Unternehmen mit einem höheren Reifegrad können jedoch mit der zentralen Zusammenführung von Sicherheitsdaten in einem Security Data Hub beginnen, um die Vorteile von KI-Lösungen zu nutzen, wenn diese ausgereift sind.

9. Verschlüsselung: Vorbereitung auf die nächste Generation und Post-Quanten-Verfahren

Während die Verschlüsselung von Kommunikation und gespeicherten Daten (Daten im Ruhezustand) bereits gängig ist, geht die Revolution der Verschlüsselung mit dem Aufkommen von Technologien wie der Verschlüsselung im laufenden Betrieb weiter. Die Regulierungsbehörden interessieren sich für diese Themen (siehe DORA). Dieser Trend erfordert die Integration der Prinzipien des Confidential Computing, wobei die Verschlüsselung direkt in die Register und den Speicher des Prozessors integriert wird. Man kann jedoch noch weitergehen, insbesondere mit homomorpher Verschlüsselung (die eine Verarbeitung der Daten ermöglicht, ohne dass diese vorher entschlüsselt werden müssen).

Parallel dazu stellen Quantencomputer eine wachsende Bedrohung dar. Auch wenn der Höhepunkt ihrer Auswirkungen zwischen 2030 und 2033 erwartet wird, gibt es bereits Warnsignale. Sie sollten sich jetzt schon darüber Gedanken machen, welche sensiblen Daten mindestens ein Jahrzehnt lang vertraulich bleiben müssen.

Beim Übergang in die Post-Quanten-Ära gibt es drei Hauptphasen:

1. Identifizierung sensibler Daten, Verständnis ihrer Art und ihrer strategischen Bedeutung und Priorisierung der Migration.
2. Gründliche Analyse aktueller Verschlüsselungssysteme, ob kommerziell oder Open Source.
3. Einführung von Post-Quanten-Verschlüsselungslösungen, auch wenn sie unvollkommen sind, um sie kontinuierlich zu testen und anzupassen.

Derzeit bietet eine Strategie der doppelten Verschlüsselung, die herkömmliche und Post-Quanten-Methoden miteinander verbindet, mehrschichtige Sicherheit, die den aktuellen und zukünftigen Herausforderungen gerecht wird.

10. Nachhaltige Cybersicherheit: Wer ist zuständig?

Angesichts der Dringlichkeit im Kontext des Klimawandels müssen Cybersicherheitsteams ihren Teil der Verantwortung übernehmen und nachhaltige Praktiken einführen, die über Green IT hinausgehen. Da die Sicherheitsrichtlinien dem CISO unterstehen, kann er sie auch so gestalten, dass Sicherheitsmaßnahmen empfohlen werden, die weniger Energie verbrauchen, ohne das Risikoniveau zu erhöhen.

Dies beginnt mit der Bewertung der Umweltauswirkungen von Sicherheitsmaßnahmen. Es gibt eine Reihe von Tools, mit denen die Treibhausgasemissionen von Infrastruktur (sowohl vor Ort als auch in der Cloud) und Endgeräten gemessen werden können. Dieser erste Schritt ermöglicht es, die umweltschädlichsten Geräte in Ihrem Unternehmen zu identifizieren.

Ziel ist dann die Reduzierung der Emissionen ohne wesentliche Beeinträchtigung des Sicherheitsniveaus, d. h. ohne kritische Maßnahmen anzutasten.

2024… und darüber hinaus? Vorbereitung der Cybersicherheit von morgen

Fachkräftemangel im Cyberbereich: Nutzung internationaler Ressourcen

Angesichts des anhaltenden Fachkräftemangels steht die Cybersicherheit vor zwei Herausforderungen: die Rekrutierung und die Sicherstellung der Zufriedenheit und Effizienz der bestehenden Teams.

Wavestone untersucht die Cyber-HR-Strategien seiner Kunden. Die ersten Ergebnisse zeigen, dass kurzfristige individuelle Lösungen wie Gehaltserhöhungen zwar wirksam sein können, aber zu erheblichen Verzerrungen führen. Langfristige gemeinsame Strategien, die sich auf Wissensmanagement und den Aufbau von Gemeinschaften und Expertise konzentrieren, werden selten umgesetzt, führen aber zu guten Ergebnissen. Maßnahmen zur Bindung von Talenten mit individuellen Karrierewegen und beruflicher Entwicklung werden am seltensten umgesetzt, obwohl sie am effektivsten sind, um Talente langfristig zu binden.

Eine Strategie scheint zur Bewältigung dieser Herausforderungen und insbesondere des Wachstums der Cybersicherheitsteams vielversprechend: Wir empfehlen, die Attraktivität der Cybersicherheit innerhalb des Unternehmens zu steigern, anstatt sich auf externe Rekrutierung zu verlassen. Die Förderung interner Umschulungen und Weiterbildungen sowie die Nutzung vorhandener Kompetenzen sind unserer Meinung nach der beste Weg, um ein Gleichgewicht zwischen dem Bedarf an Talenten und der Realität des Marktes zu finden.

Neues Jahr: Ein paar Tipps zur Überarbeitung Ihrer Cyber-Roadmap

Auch wenn Sie alle diese Themen auf dem Radar haben sollten, müssen Sie sie ganz klar priorisieren und orchestrieren, um eine erfolgreiche Strategie zu entwickeln. Anschließend müssen Sie festlegen, was Sie bis zum Ende des nächsten Strategiezyklus erreichen wollen, und Ihren Aktionsplan umsetzen, um diese Ziele zu erreichen. Wie gehen Sie dabei vor?